密码学基础(九) - 公钥加密中的高等概念

陷门置换构造加密方案

陷门置换(Trapdoor Permutation)是公钥加密体制中的一种抽象概念，
在一些结构中，参数生成算法Gen输出一些附加信息$t$和I，从而实现$f_I$的有效求逆。称这些附加信息为陷门(trapdoor)，并将单向置换的族称为陷门置换的附加属性族。
陷门的形式化定义为：
一组多项式时间算法(Gen,Samp,f,Inv)如果满足以下条件则称其为陷门：

• 概率性的参数生成算法Gen：输入$1^n$，输出(I,td)其中|I| $\le$ n，I的每一个值定义了一个置换的定义域和值域$D_I$，$f_I:D_I\to D_I$
• 用$Gen_1$表示由Gen算法生成的结果，并且只输出I。则($Gen_1$,Samp,f)是一族单向置换
• 用$(I,td)$表示$Gen(1^n)$的输出，则确定性的反向算法Inv，将td以及y $\in D_I$作为输入，然后输出x $\in D_I$，表示成x := $Inv_{td}(y)$。则需要保证所有由Gen($1^n$)生成的(I,td)，有一个概率均匀的选择x $\in D_I$，有$Inv_{td}(f_I(x))=x$

也就是对陷门置换$f_I$，如果未知陷门$td$，则很难求$f_I$的逆；如果已知陷门$td$，则能够高效率的求$f_I$的逆。

陷门置换构造的公钥加密方案：设$\Pi$=(Gen,f,Inv)是一族陷门置换，令hc为一个确定性的多项式时间算法，这个算法接收I以及x$\in D_I$作为输入，然后输出一个比特$hc_I(x)$，称hc为$\Pi$的硬核谓词，如果对于所有PPT上的算法A，存在一个可忽略函数negl满足$Pr[A(I,f_I(x))=hc_I(x)] \le \frac{1}{2}+negl(n)$

陷门置换的不对称性意味着任何一个知道与$I$相关的陷门td的人而可以从$f_I(x)$中恢复出x，并由此从$f_I(x)$计算出$hc_I(x)$
但是如果只给了一个I，对于一个概率均匀选择的x，很难从$f_I(x)$计算出$hc_I(x)$

从任何一组陷门置换构造公钥加密方案：设$\Pi'$=(Gen',f,Inv)是一族陷门置换，其硬核谓词为hc，则可以构造一个公钥加密方案如下：

• Gen：输入安全参数$1^n$，运行Gen'($1^n$)获得(I,td)，输出公钥I，私钥td
• Enc：输入一个公钥I以及一条明文m $\in$ {0,1}，概率均匀的选择一个r $\in D_I$，r满足$hc_I(r)=m$，输出密文c := $f_I(r)$
• Dec：输入一个私钥td以及一条密文c，计算r:=$Inv_I(c)$，然后输出明文m := $hc_I(r)$

定理：如果$\Pi'$是一族硬核谓词为hc的陷门置换，那么上面所构造的加密方案是CPA安全的
加密更长的明文：在前面的RSA-lsb中已经介绍过如何利用加密单比特明文的加密方案加密更长的明文

秘密共享以及门限加密

安全(交互)协议可能比基本的密码原语(例如，加密和签名方案)复杂得多。一方面是因为它们可能涉及多方交换几轮消息，另一方面是因为它们旨在实现更复杂的安全需求。

秘密共享

应用情景：一个发牌员持有一个秘密(比如核弹的发射密码)，希望通过给与每个用于一点份额在用户集合$P_1,...,P_N$之间共享这个秘密，任意t个用户都能通过将他们的份额组装起来从而恢复这个秘密，但是用户数量小于t则无法知道任何关于这个秘密的信息
上述的应用情景称为(t,N)门限秘密共享，而(t,N)门限秘密共享有有两种情况，$t=N$，以及$t<N$的情况：

• $t=N$的情况：
  假设秘密信息 $s\in\lbrace 0,1 \rbrace^l$

  1. 发牌员概率均匀的选择$s_1,...,s_{N-1}\in\lbrace 0,1 \rbrace^l$，然后计算$s_N:=s\oplus(\oplus^{N-1}_{i=1}s_i)$，则每个用户的份额就是$s_i,i=1,...,N$
  2. 因为$(\oplus^N_{i=1}s_i)=s$，当$N$个用户都提供了自己的份额后能够恢复秘密信息$s$
  3. 并且，当用户数量少于$N$的时候，无法获得任何关于秘密$s$的信息

• $t<N$的情况，与上面那种情况不同的是，在选择$s_1,...,s_N$的时候需要满足一定的约束，并且显然效率是很低的。主要由Shamir秘密共享算法实现。

Shamir秘密共享方案：这个方案是基于一个有限多项式域$F$设计的，其中$F$满足秘密$s\in F$ 并且$|F| > N$，其原理主要是：给定$k$个点，能够确定唯一的多项式$f$，满足$\deg f=k-1$
即，给定$F$中任意$t$个不重复的点，$(x_1,y_1),...,(x_t,y_t)$，都有一个唯一的多项式$p$满足$p(x_i)=y_i, \deg f=(t-1)$

该方案的工作原理如下，设$x_1,...,x_N \in F$，没有重复并且不含零元素，这些信息是可以公开的：

• 共享：给定一个秘密$s\in F$，发牌员均匀随机的选择$a_1,...,a_{t-1} \in F$，然后定义一个多项式$p(X)=s+\Sigma^{t-1}_{i=1}a_iX^i$，每个用户的秘密份额为$s_i=p(x_i) \in F$
• 恢复：$t$个用户$P_1,...,P_t$交出他们的份额$s_1,...,s_t$然后利用$p(x_i)=s_i$计算出多项式多项式$p$，则秘密为$s=p(0)$。而且显然，对于任何用户数量小于t的用户都无法计算出p，也就无法获取任何关于秘密s的信息

$\mathrm{Example}:$ 令$N=4,t=2$，以及$x_1=1,x_2=2,x_3=3,x_4=4$，秘密$s=64$，则Shamir秘密共享算法：
构造多项式：随机选取整数$a=14$，则$p(x)=64+14x$
共享份额：$s_1=p(x_1)=64+14=78$，$s_2=p(x_2)=92$，$s_3=p(x_3)=106$，$s_4=p(x_4)=120$
恢复秘密：显然，任意两个点$(x_i,s_i)$都能够恢复多项式$p(x)=64+14x$，而秘密信息$s=p(0)=64$

可验证秘密共享

在秘密共享方案中存在着两种恶意行为，而可验证秘密共享(Verifiable Secret Sharing,VSS)用于抵抗这两种恶意行为

1. 腐败的发牌员：给用户发放不一致的份额，这样会导致不同的用户组会恢复出不同的秘密
2. 在恢复阶段中一个恶意的用户可能会提交一个假的份额，从而影响恢复过程

更加形式化的定义是，可验证秘密共享方案需要满足以下两个条件：如果用户集合中有t-1个腐败的用户，并且相互串通，甚至其中可能包括发牌员，则：

1. 在共享阶段结束的时候，需要保证任何t个份额都能够会付出秘密s
2. 如果发牌员是诚实的，那么秘密就是发牌员的密钥

当然上面的第一个条件是假设用户集合中的大多数($\le$ t个)用户是不腐败的，那么N应该满足N $\le$ t+t-1 > 2(t-1)

可验证秘密共享方案：设H是一个由随机预言机构造的函数，假设由G($1^n$)生成的可信任参数(G,q,g)是提前发表了的，其中q是一个素数，所以$Z_q$是一个域，并且所有用户都可以访问广播频道

• 共享阶段：
  1. 设将要分享的秘密为s，则发牌员概率均匀的选择一个$a_0 \in Z_q$，然后利用Shamir秘密共享方案共享$a_0$，将$s_i=p(i)=\Sigma^{t-1}_{j=0}a_ii^j$发送给用户$P_i$，此外，发牌员利用广播频道广播$A_0=g^{a_0},...,A_{t-1}=g^{a_{t-1}}$，以及“被掩盖的秘密”c := H($a_0$) $\bigoplus$ s
  2. 每个用户$P_i$在收到了自己的份额后需要验证$g^{s_i}=?\prod^{t-1}_{j=0}(A_j)^{i^j}$，如果不满足，则在广播频道上报错
     $\prod^{t-1}_{j=0}(A_j)^{i^j}=\prod^{t-1}_{j=0}(g^{a_i})^{i^j}=g^{\Sigma^{t-1}_{j=0}a_j·i^j}=g^{p(i)}=g^{s_i}$
  3. 如果有超过t-1个用户报错，则发牌员不合格，协议终止；否则，发牌员广播$s_i$作为回应；如果广播出去的份额仍然无法通过验证，则这个发牌员是不合格的，协议终止；否则，用户$P_i$将广播的$s_i$作为自己的份额
• 恢复阶段：在恢复之前需要先进行验证，如果用户组中的用户$P_i$不能通过验证，那么这个用户将被丢弃，而在这剩下的t个通过验证的用户中，可以恢复出$a_0$，然后计算s:=c$\bigoplus$H($a_0$)

电子选举

这种技术依赖于El-Gamal加密方案的一种变体的同态加密方案：给定公钥$pk=(G,q,g,h)$，如果要加密明文$m\in Z_q$，则计算$M=g^m$，概率均匀的选择一个$y\in Z_q$，然后发送密文$c=(g^y,h^y·M)$；如果要解密，想用标准的El-Gamal加密方案计算出M，然后计算$m=log_gM$

• 缺点：如果明文空间比较大，那么效率将会非常低；如果明文空间比较小，那么接收方可以使用穷举搜索高效的解密
• 优点：对于$Z_q$中的加法同态：$(g^{y_1},h^{y_1}·g^{m_1})·(g^{y_2},h^{y_2}·g^{m_2})=(g^{y_1+y_2},h^{y_1+y_2}·g^{m_1+m_2})$

使用同态加密进行电子选举的基本方法是让每个投票者对其投票$v_i\in\{0,1\}$进行加密，从而获得一个密文$c_i$。收集所有人的密钥，然后将所有的密文相乘，从而得到最终投票结构的密文，称为最终密文，然后将私钥发送到权威机构进行解密，从而获取投票的总和

然而存在着一个缺陷：权威机构必须是可信的，否则，其既可以(正确地)解密最终的密文，也可以不解密任何个别选民的密文而作弊。

解决的方法是同时委托多个机构，然后利用秘密共享将私钥分享给这些机构
不过仍然存在着一个缺陷：如果权威机构为了解密某个密文而恢复这个私钥，那么所有的机构都会知道这个私钥，那么他们可以按照自己选择解密任何密文。